服務(wù)器虛擬化安全隱患五大策略服務(wù)器虛擬化正在推動(dòng)著當(dāng)前的數(shù)據(jù)中心改造。這種技術(shù)提高了可用性，削減IT成本和支持將來(lái)的業(yè)務(wù)增長(zhǎng)。服務(wù)器虛擬化能夠讓機(jī)構(gòu)更好地預(yù)備好應(yīng)對(duì)更廣泛的云計(jì)算機(jī)會(huì)和基于服務(wù)的計(jì)算機(jī)會(huì)。在降低成本的同時(shí)提高效率的需求正在推動(dòng)虛擬化技術(shù)的快速應(yīng)用。

在不確定的經(jīng)濟(jì)狀況下，服務(wù)器虛擬化仍在連續(xù)增長(zhǎng)。然而，虛擬化的快速應(yīng)用能夠引起顛覆性的特征(也就是說(shuō)完全改造的基礎(chǔ)設(shè)施和供應(yīng)新的模式)，轉(zhuǎn)變數(shù)據(jù)中心自然的秩序和引起平安問(wèn)題。

企業(yè)愛(ài)護(hù)自己的虛擬服務(wù)器環(huán)境的平安是特別重要的，特殊是虛擬化不僅已經(jīng)在服務(wù)器中更普遍的應(yīng)用，而且在存儲(chǔ)、操作系統(tǒng)、臺(tái)式電腦和網(wǎng)絡(luò)資源等方面也在廣泛應(yīng)用。下面看一下機(jī)構(gòu)擔(dān)憂的虛擬服務(wù)平安的主要問(wèn)題，以及如何更好地掌握這些問(wèn)題，同時(shí)為虛擬化進(jìn)一步向數(shù)據(jù)中心普及做好預(yù)備。

解除服務(wù)器虛擬化平安隱患之管理、責(zé)任和政策

管理虛擬化的主要問(wèn)題是誰(shuí)負(fù)責(zé)虛擬資源。與物理服務(wù)器不同，物理服務(wù)器由在這個(gè)物理區(qū)域的管理員直接負(fù)責(zé)，虛擬服務(wù)器的責(zé)任通常是不明確的。當(dāng)涉及到虛擬化的時(shí)候，會(huì)消失如下問(wèn)題：誰(shuí)負(fù)責(zé)、誰(shuí)應(yīng)當(dāng)擁有訪問(wèn)權(quán)、誰(shuí)應(yīng)當(dāng)配置和保證這個(gè)環(huán)境的平安?這個(gè)責(zé)任是應(yīng)當(dāng)由業(yè)務(wù)部門(mén)、服務(wù)器管理員還是一個(gè)集中的主管理員負(fù)責(zé)?

當(dāng)設(shè)法解決這些問(wèn)題時(shí)，遵循的一個(gè)簡(jiǎn)潔的規(guī)章是對(duì)待重要的虛擬服務(wù)器應(yīng)當(dāng)像對(duì)待物理服務(wù)器一樣實(shí)行同樣的掌握措施。例如，假如你沒(méi)有把你的SAP服務(wù)器的根口令供應(yīng)給主要管理員以外的其他人，對(duì)于你的虛擬SAP服務(wù)器也要制定同樣的規(guī)章。

應(yīng)用平安虛擬解決方案定義和管理整個(gè)新的環(huán)境中的政策。當(dāng)遇到虛擬平安的問(wèn)題時(shí)，IT管理員需要制定正確的政策平安地愛(ài)護(hù)自己的系統(tǒng)。然而，這些政策必需足夠敏捷以保證它們沒(méi)有太多的限制。IT管理員需要詢(xún)問(wèn)使用當(dāng)前的平安政策是否可以實(shí)現(xiàn)服務(wù)器虛擬化的全部好處。一個(gè)抱負(fù)的解決方案是通過(guò)保證虛擬化不繞過(guò)現(xiàn)有的平安掌握措施讓用戶保持對(duì)自己的基礎(chǔ)設(shè)施的掌握。這需要高水平的集中批準(zhǔn)和掌握。

解除服務(wù)器虛擬化平安隱患之遵守法規(guī)

隨著一些虛擬服務(wù)器變成擁有極少掌握的看不見(jiàn)的網(wǎng)絡(luò)，就會(huì)消失遵守法規(guī)的問(wèn)題。對(duì)于沒(méi)有特地負(fù)責(zé)監(jiān)視每一臺(tái)主機(jī)內(nèi)部虛擬機(jī)的全部互動(dòng)狀況的數(shù)據(jù)中心管理員來(lái)說(shuō)，這是很成問(wèn)題的。隨著虛擬化連續(xù)向主流應(yīng)用進(jìn)展，有很多遵守法規(guī)的強(qiáng)制規(guī)定將不行避開(kāi)地影響到虛擬化的應(yīng)用。例如，這些遵守法規(guī)的強(qiáng)制規(guī)定之一是PCI-DSS(支付卡行業(yè)數(shù)據(jù)平安標(biāo)準(zhǔn))。

在零售行業(yè)，定義信用卡處理的規(guī)定(PCI-DSS要求2.2.1)要求企業(yè)每臺(tái)服務(wù)器僅執(zhí)行一項(xiàng)功能。這使人們對(duì)這個(gè)規(guī)定有很多解釋。有些零售商或許把這個(gè)規(guī)定解釋為每臺(tái)物理服務(wù)器僅執(zhí)行一項(xiàng)任務(wù)。有些企業(yè)僅把這項(xiàng)規(guī)定嚴(yán)格地限制在部署虛擬服務(wù)器方面。由于標(biāo)準(zhǔn)模糊不清，單個(gè)的企業(yè)正在實(shí)行不同的方式使用虛擬化技術(shù)處理信用卡信息。這會(huì)暴露持卡人的數(shù)據(jù)和沒(méi)有使用新的行業(yè)規(guī)定遵守法規(guī)，從而引起企業(yè)的風(fēng)險(xiǎn)。使用一個(gè)有閱歷的綜合者解決這個(gè)問(wèn)題。PCI平安標(biāo)準(zhǔn)委員會(huì)最近恢復(fù)了一個(gè)特殊愛(ài)好組，以澄清審計(jì)人員和用戶在虛擬化方面遇到的一些問(wèn)題。這個(gè)愛(ài)好組將在2022年年底之前供應(yīng)第一輪建議。

在處理服務(wù)器虛擬化的遵守法規(guī)的問(wèn)題，企業(yè)需要理解自己的風(fēng)險(xiǎn)。建立一個(gè)平安的審計(jì)跟蹤作為遵守內(nèi)部和外部審計(jì)者規(guī)定的證明，實(shí)時(shí)報(bào)警和聯(lián)合流程仍是虛擬環(huán)境優(yōu)先考慮的事情。假如一家公司能夠現(xiàn)實(shí)地處理自己的風(fēng)險(xiǎn)，它就很簡(jiǎn)單解決審計(jì)者擔(dān)憂的問(wèn)題并且保證能夠修復(fù)任何問(wèn)題。

隨著他們?cè)试S機(jī)構(gòu)保持老式的服務(wù)、操作系統(tǒng)和應(yīng)用程序，同時(shí)連續(xù)推動(dòng)數(shù)據(jù)中心優(yōu)化的努力，虛擬機(jī)將更加流行。

因此，沒(méi)有一個(gè)管理這些老式系統(tǒng)的撤銷(xiāo)過(guò)程的明確的方案，就會(huì)存在風(fēng)險(xiǎn)并且會(huì)給企業(yè)帶來(lái)新的重大平安風(fēng)險(xiǎn)。有一種推想認(rèn)為，老式系統(tǒng)中使用的平安措施能夠在虛擬化環(huán)境中供應(yīng)同樣的平安愛(ài)護(hù)。企業(yè)把老式的平安措施當(dāng)作平安系統(tǒng)是擔(dān)心全的，不會(huì)以同樣的方式發(fā)揮作用，從而使企業(yè)簡(jiǎn)單遭到平安攻擊。

解除服務(wù)器虛擬化平安隱患之保證虛擬化平安并監(jiān)視虛擬化

把服務(wù)器虛擬化推廣到生產(chǎn)環(huán)境的一個(gè)重要挑戰(zhàn)是保證平臺(tái)的平安并且進(jìn)行監(jiān)視以便解決平安漏洞。與在裸機(jī)上運(yùn)行的操作系統(tǒng)/應(yīng)用程序不同，在一個(gè)虛擬化平臺(tái)上運(yùn)行的虛擬機(jī)是這個(gè)系統(tǒng)的活動(dòng)部件。虛擬機(jī)管理員能夠復(fù)制和把虛擬機(jī)鏡像從一臺(tái)服務(wù)器遷移到另一臺(tái)服務(wù)器，在遷移中攜帶那個(gè)虛擬機(jī)、操作系統(tǒng)和支持的應(yīng)用程序等全部?jī)?nèi)容。IT部門(mén)還能夠在運(yùn)行狀態(tài)暫停、拷貝和把虛擬機(jī)從一臺(tái)服務(wù)器遷移到另一臺(tái)服務(wù)器。

當(dāng)然，這種敏捷性還會(huì)產(chǎn)生平安漏洞。隨著虛擬機(jī)的不斷的上線和下線，或者依據(jù)需要從一臺(tái)服務(wù)器遷移到另一臺(tái)服務(wù)器，平安掌握措施需要反映這些變化。此外，隨著虛擬機(jī)從一臺(tái)服務(wù)器遷移到另一臺(tái)服務(wù)器，這些虛擬機(jī)或許會(huì)為傳統(tǒng)的防火墻檢測(cè)不到的危急和攻擊放開(kāi)大門(mén)。處理這種平安漏洞的一個(gè)抱負(fù)的方法是利用高級(jí)記錄大事管理技術(shù)。這使企業(yè)能夠監(jiān)視各種虛擬化基礎(chǔ)設(shè)施組件以便檢測(cè)虛擬化平臺(tái)中將發(fā)生什么事情。這包括監(jiān)視詳細(xì)的大事、失敗的登錄和其它可以認(rèn)為是違法政策的活動(dòng)。這種技術(shù)還能夠讓機(jī)構(gòu)具體地理解有權(quán)限的用戶能夠?qū)蝹€(gè)虛擬機(jī)做什么。

由于虛擬機(jī)的設(shè)置和運(yùn)行時(shí)間都比傳統(tǒng)的物理服務(wù)器更短暫，這將引起額外的擔(dān)憂。這產(chǎn)生了一些風(fēng)險(xiǎn)狀況。在這種狀況中，虛擬機(jī)不行能上線進(jìn)行平安掃描、升級(jí)和使用補(bǔ)丁。當(dāng)發(fā)生故障的時(shí)候，找到故障緣由也是很困難的，由于虛擬機(jī)不斷地建立和撤銷(xiāo)，快照和檢查點(diǎn)常常退回重來(lái)。機(jī)構(gòu)部署目前可用的軟件管理解決方案管理離線虛擬機(jī)和物理服務(wù)器以避開(kāi)這些平安問(wèn)題是特別重要的。

由于數(shù)據(jù)中心的虛擬機(jī)數(shù)量比物理服務(wù)器的數(shù)量多，保證這些虛擬機(jī)避開(kāi)遭到病毒攻擊是比較簡(jiǎn)單的。由于虛擬機(jī)數(shù)量更多，病毒能夠成倍地傳播，攻擊的服務(wù)器數(shù)量要把純物理服務(wù)器環(huán)境中攻擊的服務(wù)器數(shù)量多。傳統(tǒng)的網(wǎng)絡(luò)管理工具看不到虛擬機(jī)與虛擬機(jī)之間的通訊。要在這種狀況下供應(yīng)關(guān)心，不同物理服務(wù)器上的虛擬機(jī)池需要在自己的專(zhuān)用網(wǎng)絡(luò)上相互溝通，能夠完全訪問(wèn)共同身份識(shí)別和加密等平安功能。

虛擬機(jī)鏡像將保留在文件中。結(jié)果，由于這些文件很簡(jiǎn)單復(fù)制，這就增加了風(fēng)險(xiǎn)。有一些可用的選擇可以管理這些特別問(wèn)題。虛擬機(jī)鏡像本身中的隱秘?cái)?shù)據(jù)不應(yīng)當(dāng)輕松地訪問(wèn)。最起碼的是企業(yè)應(yīng)當(dāng)加密這些數(shù)據(jù)或者把這些數(shù)據(jù)存儲(chǔ)到其它的存儲(chǔ)位置(這可以是虛擬的或者物理的)。此外，加強(qiáng)管理來(lái)自網(wǎng)絡(luò)的虛擬機(jī)鏡像能夠更嚴(yán)格進(jìn)行掌握，保證最低限度地訪問(wèn)這些鏡像和增加身份識(shí)別。

解除服務(wù)器虛擬化平安隱患之虛擬機(jī)擴(kuò)散和移動(dòng)

很多企業(yè)日益擔(dān)憂虛擬機(jī)擴(kuò)散問(wèn)題。除了日益增加的管理簡(jiǎn)單性和日益提高的數(shù)據(jù)中心成本之外，人們還日益擔(dān)憂缺少可用的掌握措施避開(kāi)業(yè)務(wù)部門(mén)經(jīng)理自己創(chuàng)新大量新的虛擬服務(wù)器。使這種擔(dān)憂更加嚴(yán)峻的是這些新的服務(wù)器或許是在沒(méi)有保證適當(dāng)管理和平安的狀況下創(chuàng)建的。

與虛擬機(jī)擴(kuò)散和輕松地在物理服務(wù)器之間遷移虛擬機(jī)有關(guān)的一個(gè)重要問(wèn)題是支持環(huán)境的可持續(xù)性。這個(gè)主要問(wèn)題是不同的虛擬機(jī)工作量通常有不同的與存儲(chǔ)、計(jì)算和網(wǎng)絡(luò)有關(guān)的要求。掌握這個(gè)風(fēng)險(xiǎn)需要明確地關(guān)聯(lián)虛擬機(jī)工作量和適當(dāng)?shù)囊胤诸?lèi)，以及確保維持必要的平安態(tài)勢(shì)。

當(dāng)考察軟件管理解決方案的時(shí)候，企業(yè)有必要評(píng)估他們支持基于政策的向這個(gè)環(huán)境動(dòng)態(tài)安排虛擬機(jī)的力量。這種力量通常稱(chēng)作“沙箱”。沙箱是隔離運(yùn)行的應(yīng)用程序的一種平安機(jī)制。沙箱常常用來(lái)執(zhí)行沒(méi)有經(jīng)過(guò)測(cè)試的代碼或者沒(méi)有經(jīng)過(guò)驗(yàn)證的第三方、供應(yīng)商或用戶的應(yīng)用程序。這種方法通過(guò)阻擋應(yīng)用程序向沙箱外部寫(xiě)數(shù)據(jù)的方法來(lái)保證應(yīng)用程序的平安，阻擋進(jìn)入系統(tǒng)的病毒和其它惡意活動(dòng)進(jìn)行破壞。

保持全部相關(guān)活動(dòng)的審計(jì)記錄也是特別重要的。一個(gè)有關(guān)正在運(yùn)行的狀況的漫游快照能夠讓管理員回去進(jìn)行驗(yàn)證、優(yōu)化和監(jiān)視用戶活動(dòng)，并且保持一個(gè)精確?????的快照。通過(guò)運(yùn)行在同一個(gè)沙箱中的與遵守法規(guī)有關(guān)的應(yīng)用程序，與其它更一般的應(yīng)用程序隔離開(kāi)，企業(yè)能夠削減數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。這允許企業(yè)保持一個(gè)適當(dāng)?shù)钠桨矐B(tài)勢(shì)并且依據(jù)傳統(tǒng)的數(shù)據(jù)分類(lèi)根據(jù)政策隔離虛擬機(jī)。

為了削減虛擬機(jī)擴(kuò)散，企業(yè)應(yīng)當(dāng)利用一些時(shí)間培訓(xùn)管理員有關(guān)虛擬基礎(chǔ)設(shè)施開(kāi)發(fā)、管理和平安的學(xué)問(wèn)。他們要求明確地理解虛擬化技術(shù)和虛擬化技術(shù)與傳統(tǒng)的IT基礎(chǔ)設(shè)施的區(qū)分。IT人員必需有正確的工具進(jìn)行有效的管理。但是，IT人員還需要進(jìn)行培訓(xùn)以正確地管理這個(gè)新的基礎(chǔ)設(shè)施。

解除服務(wù)器虛擬化平安隱患之平安改進(jìn)

機(jī)構(gòu)能夠連續(xù)改善他們的平安態(tài)勢(shì)。下面是一些額外的建議：

·削減服務(wù)器關(guān)機(jī)時(shí)間。虛擬機(jī)能夠在完全運(yùn)行的時(shí)候進(jìn)行備份，因此要確認(rèn)你的系統(tǒng)在連續(xù)運(yùn)行以保證明時(shí)備份。假如一個(gè)系統(tǒng)發(fā)生故障并且管理員執(zhí)行了實(shí)時(shí)備份或定時(shí)快照，系統(tǒng)會(huì)很快恢復(fù)。假如恢復(fù)是必要的，那么，退回重來(lái)就像提取最新的快照一樣簡(jiǎn)潔。

·改善IT效率。企業(yè)利用一個(gè)批準(zhǔn)的黃金鏡像能夠?qū)崿F(xiàn)增加的平安性和管理性。這個(gè)黃金鏡像為一個(gè)桌面供應(yīng)各種存儲(chǔ)在防火墻后面的用戶資料。這樣做企業(yè)能夠顯著改善生產(chǎn)率，關(guān)心改善IT運(yùn)營(yíng)。這種做法就是保證每一個(gè)使用的虛擬機(jī)都是依據(jù)經(jīng)過(guò)批準(zhǔn)的黃金鏡像制作的，無(wú)論這些虛擬機(jī)用于開(kāi)發(fā)、測(cè)試或者生產(chǎn)都是如此。

·提高敏捷性。為了向一切都是服務(wù)的模式的過(guò)渡，企業(yè)能夠定義和應(yīng)用合適的數(shù)據(jù)分類(lèi)和分別。這還能夠使企業(yè)更輕松和更自信地恰當(dāng)?shù)剡x擇專(zhuān)有的和公共的云計(jì)算解決方案。這是由于虛擬化能夠參考SOA讓實(shí)施更便